维护Windows网络服务器安全的技巧

对网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。

(一) 构建好你的硬件安全防御系统

选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

(二) 选用英文的操作系统

要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

如何防止黑客入侵

首先，世界上没有绝对安全的'系统。我们只可以尽量避免被入侵，最大的程度上减少伤亡。

　 　(一) 采用NTFS文件系统格式

大家都知道，我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。

(二)做好系统备份

常言道，“有备无患”，虽然谁都不希望系统突然遭到破坏，但是不怕一万，就怕万一，作好服务器系统备份，万一遭破坏的时候也可以及时恢复。

(三)关闭不必要的服务，只开该开的端口

关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。

关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。总之，做好TCP/IP端口过滤不但有助于防止黑客入侵，而且对防止病毒也有一定的帮助。

　 　（ 四)软件防火墙、杀毒软件

虽然我们已经有了一套硬件的防御系统，但是“保镖”多几个也不是坏事。

(五)开启你的事件日志

虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

对于一个网络而言，维护其服务器安全的重要性是不言而喻的，那么作为管理员的你如何来更好地保障服务器的安全呢？本文较系统地给您介绍一些实用的技巧。

技巧一:从基本做起

黑客开始对你的网络发起攻击的时候，他们首先会检查是否存在一般的安全漏洞。因此，当你服务器上的数据都存在一个FAT的磁盘分区的时候，即使安装上世界上所有的安全软件也不会对你有多大帮助的。

因此，你需要从基本做起。将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的。同时，可以为Exchange Server安装反病毒软件，将被感染的邮件在到达用户以前隔离起来。

技巧二:保护你的备份 备份实际上是一个巨大的安全漏洞。

应该考虑通过密码保护你的磁带，并且如果你的备份程序支持加密功能，你还可以加密这些数据，如果窃贼还是把磁带弹出来带走的话，磁带上的数据也就毫无价值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持。不幸的是，一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门。黑客们所需要的一切只是一个电话号码。 你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机，建议你使用回叫功能，它允许远程用户登录以后切断连接。然后RAS服务器拨通一个预先定义的电话号码再次接通用户。黑客也就没有机会设定服务器回叫的号码了。 另一个可选的办法是限定所有的远程用户都访问单一的服务器。这样，即使黑客通过破坏手段来进入主机，那么他们也会被隔离在单一的一台机器上。最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议，迷惑一些不加提防的黑客。

技巧四:考虑工作站的安全问题

工作站是通向服务器的一个端口，在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。你也可以使用Windows NT。锁定工作站，使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。 另一个技术是将工作站的功能限定一个“聪明的”哑终端，让程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标。当你点击一个图标运行程序时，这个程序将使用本地的资源来运行，而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务器造成的压力要小得多。

技巧五:使用流行的补丁程序

微软雇佣了一个程序员团队来检查安全漏洞并修补它们。这些补丁被捆绑进一个大的软件包并做为服务包(service pack)发布。通常有两种不同的补丁程序版本:一个40位的版本和一个128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。微软定期将重要的补丁程序发布在它的FTP站点上。这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。要经常查看热点补丁。但要记住一定要按逻辑顺序使用这些补丁。避免导致一些文件的版本错误。

技巧六:使用强有力的安全政策

要提高安全性，另一个可以做的工作就是制定一个好的，强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。如果你使用Windows 2000 Server，你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权，可以授予这种删除和禁用账号权限并限制创建用户或是更改许可等这些活动的权限了。

1.安全检测

服务器关系到线上所有的重要信息，十分重要，日常安全检测必不可少。具体的检测内容包括以下几个方面：检查服务器启动项是不是正常，重点查看系统目录和重要的应用程序权限是不是有更改；检查服务器状态，打开服务器进程管理器，查看具体的CPU使用情况及任务进程是否有异常；查看服务器端口使用情况，看看是否有未使用端口，及时关闭防止黑客利用；检查系统服务应用，查看已启动的服务是否有异常。另外，可以进行周期检查相关日志，安全策略及系统文件。

2.数据备份

独立服务器日常维护备份数据是必须要更新的。建立周期将系统数据每月备份一次，应用程序数据两周单独备份一次，并确保数据安全后最好能够转储一份，这样即使出现数据损失也能够及时恢复数据。这种备份基本上采用的是全备份，因此在备份数据上可以只保留上次备份数据和此次备份数据即可。

3.日常优化

独立服务器运行久了，会产生很多系统文件，可以卸载一些不用的程序组件，释放独立服务器的空间；删除一些自启动的程序，减少读取时间，从而提升服务器的响应速度，优化内存。

4.独立服务器优化

调整服务器缓存策略，对访问流量进行适当的策略限制，比如站点带宽限制，保持http的连接，起用http压缩等。独立服务器性能优化一般周期性或特殊时间段维护较为常见。

5.综合来说，独立服务器日常维护的一些细节内容，从开机安全检测到数据备份，日常优化等，维护人员页面俱到把握细节，独立服务器的整体运行就不会出现纰漏。

---